Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

IP Bereich (1.2.3.X) sperren oder besser nicht ?

Frage Internet

Mitglied: Arano

Arano (Level 2) - Jetzt verbinden

25.08.2009, aktualisiert 19:37 Uhr, 12191 Aufrufe, 10 Kommentare

Sollte ich den IP-Bereich eines Hosters von dem vermutlich ein Spambot agiert sperren ?

Hallo zusammen,

seit ende letzen Jahres wird ein Webserver, besser gesagt, das Gästebuch der Internetseite die auf dem Server liegt von einem Spambot "heimgesucht". Die Spameinträge habe ich nach kurzer Zeit mit einem Captcha verhindern können, allerdins hat der Bot __nicht__ aufgehört ! Das heisst das seit dem der Server weiterhin mit den Anfragen (GET und POST-Requests) des Bots beschäftigt wird. Die Anfragen laufen auch immer nach dem selben Schema aber in unterschiedlichen intervalen ab:
0.0.0.X - - [16/Dec/2008:06:32:39 +0100] "GET /gaestebuch/seite-1/eintragen.html HTTP/1.0" 200 5890 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; KTXN)" 
0.0.0.X - - [16/Dec/2008:06:32:39 +0100] "POST /gaestebuch/seite-1/eintragen.html HTTP/1.0" 200 6095 "http://www.example.com/gaestebuch/seite-1/eintragen.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; KTXN)"
Erst der normale GET-Request um den Referrer zu erlangen, gefolgt von dem POST um einen neuen Eintrag zu erstellen. Ich habe gestern Abend mal die Logfiles nach dem IP-Bereich gescannt = >37.000 Treffer !
Die letzte Stelle der IP wechselt jeden Monat wo bei pro Tag bis zu vier IPs im wechsel zu erwarten sind !
Der gesamte Bereich "gehört" laut ripe.net zu einem "Hosting-Center" in der Schweiz.

  1. Eigentlich sollte ich diesen IP Bereich doch sperren können ohne normale Internetbesucher mit auszusperren, oder ?
  2. Macht es Sinn den Hoster darüber zu informieren was "sein Kunde __vermutlich__ anstellt" ? (In der Hoffnung das dieser was dagegen tut)


Einen schönen Abend noch
~Arano
Mitglied: 1002-btl
25.08.2009 um 19:58 Uhr
Hallo,

den IP Bereich manuell sperren könnte schnell zu einer Tagesbeschäftigung werden, da ja die IP's immer wieder wechseln.
Die IP's gehören vielleicht zu einem Botnetz mit vielen PCs und führen dann zu ahnungslosen Privatleuten.
Ich würde zuerst die URL vom Gästebuch ändern, damit die Requests der Bots ins Leere laufen.

Vielleicht könnte es helfen, bereits beim vorangehenden Get Request bei einem ungültigen Referer (außerhalb der eigenen Homepage) dem Bot einen Fehlercode zurück zu liefern (z.B. 404). Das funktioniert aber nur über Scriptsprachen und nicht mit statischen Seiten.

Würde mich auf jeden Fall interessieren, wie dem Spuk ein Ende zu machen ist.

Viel Glück
Bitte warten ..
Mitglied: Arano
25.08.2009 um 20:56 Uhr
Hallo 1002-btl

Nee, einzene IPs wollte ich auch nicht sperren ich wollte gleich alle von 1.2.3.0 bis 1.2.3.255 sperren.
Dieser IP-Bereich soll eben zu dem Hoster (nicht Internetprovider) in der Schweiz gehören, darum schätze ich das ich deswegen keine Privatleute treffen würde. Aus der Schweiz werden zwar eh keine Besucher erwartet aber die Zukunft hat viele Überraschungen bereit so das mir eine grundsätzliche Lösung lieber wäre (wenn es sie gibt).

Das ändern der URL ist keine so schlechte Idee, wäre ich vielleicht gar nicht drauf gekommen.

Das mit dem Referrer wirderum funktioniert nicht weil der beim vorangehendem GET immer leer ist und beim folgendem POST der Seiteneigenem URL entspricht.

Ja, einen HTTP-Status senden hatte ich mir auch schon überlegt (arbeite mit PHP) allerdings an der Stelle an der der Eintrag wegen des falschen Captchas nicht gespeichert wird (401, 404, 406, 400 oder einen anderen). Leider wird vorher schon der komplette Kopfbereich der Website ausgegen so das ich keine weiteren Headerinformationen senden kann.
Und wenn der Besucher den Captcha mal falsch ausfüllt und nen 404 bekommt ist das auch nicht gut.

Würde mich auf jeden Fall interessieren, wie dem Spuk ein Ende zu machen ist.
Ha ! Frag mich mal, das sind immerhin 5.000 bis 12.000 Requests pro Monat.

Wie dem auch sei, das mit der URL werde ich morgen mal in Angriff nehmen und dann beoabachten wielange der Bot braucht das zu verstehen...
*arg* Schlüsselwort "Verstehen", der hat die Seite ja auch gefunden, was sollte ihn davon abhalten die "neue" Seite auch wieder zu finden, werde sie in der Navigation verlinken müssen.

Ich mach mir Morgen mal nen Kopf drüber und überlge was ich einfach mal ausprobieren werden...


Gute Nacht
~Arano
Bitte warten ..
Mitglied: EvilMoe
25.08.2009 um 21:04 Uhr
Warum kommt der Bot überhaupt am Captcha vorbei?
Wäre es nicht einfacher zu schauen warum er das lesen kann? Vielleicht etwas schwieriger machen, oder vielleicht ist ein Fehler Captcha (z.B. Buchstaben sind im Klartext im Quellcode vorhanden etc.)...
Bitte warten ..
Mitglied: dog
25.08.2009 um 23:45 Uhr
Ha ! Frag mich mal, das sind immerhin 5.000 bis 12.000 Requests pro Monat.

Die Zahl sollte keinem Apache was ausmachen.
Ein Guter schafft 3k Requests pro Sekunde.

Grüße

Max
Bitte warten ..
Mitglied: maretz
26.08.2009 um 07:15 Uhr
Ich würde erstmal den Auszug aus der Logfile (unverändert!!!) an den Hoster senden. Denn dann wird der schon dafür sorge tragen das derjenige aufhört bzw. seinen Server mal überprüft. Immerhin zahlt der Hoster den Traffic...

Sollte das nicht helfen würde ich gucken ob man jemand anders findet (z.B. abuse-Adresse) der notfalls dem Hoster sogar auf die Finger haut... Allerdings ist es bei mir bisher nie soweit gekommen das ich da nachhaken musste - meist kam sogar sehr schnell nen kleines Entschuldigungs-Schreiben des Hosters mit der Aussage das er sich darum kümmern wird. Und 1-2 Tage später war dann auch ruhe
Bitte warten ..
Mitglied: Arano
26.08.2009 um 16:58 Uhr
Hallo zusammen.

@EvilMoe:
Nein, der Bot kommt am Captcha nicht vorbei, das funktioniert schon !
Der Punkt ist nur, bei einem falsch gelöstem Captcha gibt man dem Benutzer ja nur Bescheid a lá: "Captcha falsch, probiere es noch mal" und zeigt ihm das Formular mit seinen bisherigen Eingaben. Weil die Seite aber erfolgreich angezeigt wird resultiert das in einem HTTP-Status: "200 OK". Der Benutzer sieht/liest ja das es nicht funktioniert hat, der Bot nicht weil Status 200 = alles OK, also kommt er wieder (ob wohl es eigentlich nichts bringt) !

@Dog:
Das sind schon ne menge Anfragen die der verarbeiten kann !
Naja, in der Hinsicht (Serverleistung) bin ich schon immer "ängstlich" gewesen, was ja auch nicht unbedingt schlecht ist ;)
Und Danke für die Info !

@maretz:
Hast das wohl schon ein paar mal mitgemacht, wie !?
Aber das hört sich auch gut an, eigentlich sogar genau das was ich auch gerne hören wollte.
Werde das also gleich mal machen.
Danke für den Hinweis !

@Alle:
Ich wollte mir ja noch ein paar Gedanken dazu mache und so tat ich das auch:
  • Also, das sperren der IP / des Bereiches hätte vielleicht geholfen, aber nur gegen diesen einen Bot und sämtliche IP-Bereiche sperren aus denen irgendwann mal ein Bot kommt wird früher oder später damit enden das nur noch local auf den Server zugegriffen werden kann.
  • Das ändern der URL wäre auch nur eine temporäre Lösung gewesen weil auch hier früher oder später der Bot die neue URL gefunden hätte, Und wenn nicht dieser, dann ein anderer.
  • Mir scheint das nur die Methode mit den HTTP-Status-Codes in Frage kommt, als "vorsorge" Schutz damit die Bots gar nicht erst das Interesse an der Seite / dem Formular bekommen. Bei einem falschem Captcha müsste also z.B. erst ein "404 Not Found" für den Bot kommen und anschließend ein "3xx Redirect" mit der Weiterleitung zum bereits vorgefülltem Formular. Funktioniert wenn überhaupt eh nur bei Bots die auch auf den HTTP-Status achten (um keine unnötigen Formulare in ihre Listen aufzunehmen o.ä.).

Ja, so denke ich da gerade drüber, ob es stimmt wird sich noch herausstellen, theoretisch wie technisch und vor allem praktisch.

Ein Dankeschön noch mal an alle für eure Anregungen und Vorschläge, Danke !


~Arano
Bitte warten ..
Mitglied: dog
26.08.2009 um 17:21 Uhr
Es gibt auch noch einen weiteren Trick um Bots auszusperren, die die robots.txt ignorieren.
Dazu fügt man unsichtbar eine neue URL in die Seite ein, wobei bei jedem Aufruf die IP gesperrt wird.
Damit man nicht auch Google etc. aussperrt trägt man die URL vorher als Verboten in die robots.txt ein.
Aber das ist auch nur eine halbe Lösung

Grüße

Max
Bitte warten ..
Mitglied: Arano
29.08.2009 um 13:11 Uhr
Guten Tag, ich noch mal !

Ich dachte ich berichte euch noch davon was aus dem anschreiben des Hosters geworden ist.

AWESOME !
Wie maretz sagte !
Habe eine Mail mit ein paar kurzen Auszügen der Logs, etwas Text (a lá: werde seit X von IPs aus ihrem IP Bbereich "angegriffen", mittlerweile über 34.000 Loglines, bla bla) und eine Datei mit allen vollständigen Einträgen vom August als Anhang um 21:00 Uhr abgeschickt !
Am nächstem Tag wurde bereits um 06:57 Uhr deren Antwort versandt:
Thanks for the information. Necessary measures will be taken A.S.A.P.
Und bis heute ist der letzte Eintrag in den Logs von 05:49:43 Uhr

Nach weniger als nur 9 Stunden (über Nacht) war das bereits erledigt !


~Arano
Bitte warten ..
Mitglied: maddoc
03.09.2009 um 00:58 Uhr
Hallo,

sollte das Problem wieder auftreten kann ich dir BotTrap empfehlen. Bei mir hat es sofort geholfen und seit dem hatte ich nie wieder Probleme.

http://www.bot-trap.de/home/

Gruß Oli
Bitte warten ..
Mitglied: maretz
03.09.2009 um 07:56 Uhr
Naja - der Nachteil wenn du den Provider nicht informierst: Diese Spam-Schleudern u.ä. werden weiter betrieben (da ich behaupten würde das rund 75% der betreffenden Rechnern von Leuten betreut werden die grad mal unfallfrei nen Rechner anschalten können) und belasten dann andere Systeme und leitungen...

So werden diese Systeme entweder von dem "Admin" gesäubert oder normal vom Provider ganz hart vom Netz gekickt... Und ganz ehrlich -> mir tut es da wenig leid wenn so ein "Aushilfs-Admin" seinen Server mal eben verliert...
Bitte warten ..
Ähnliche Inhalte
Windows 10
IP sperren?
Frage von knowonWindows 1029 Kommentare

Hallo, wüsste gerne, ob man die IP eines Win 10 PC sperren kann? Einfach ausgedrückt: Ich ändere die IP ...

LAN, WAN, Wireless
IP Adressen-Bereich
Frage von cesc0211LAN, WAN, Wireless44 Kommentare

Hallo, brauche da eure Hilfe oder bzw.eure meinung. und zwar in unsere Firma sind zwei Standorte. Die Verbindung zwischen ...

Monitoring
PRTG Monitoring IP-Bereich
gelöst Frage von supertuxMonitoring7 Kommentare

Hallo, ich habe mir PRTG Monitor installiert, soweit läuft über die Domain-Anmeldung auch alles und die Daten sind auch ...

CPU, RAM, Mainboards
Wer ist besser: Hynix oder Samsung ? (im RAM Bereich)
Frage von lord-iconCPU, RAM, Mainboards1 Kommentar

Hi, ich plane grad mein neues MB. Supermicro schlägt 2 Firmen vor, wo der RAM für's MB tauglich/getestet worden ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 8 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 13 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 13 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Windows Server
Remotesteuerung der Sitzung (Kennung XX) fehlgeschlagen
gelöst Frage von Stefan91Windows Server14 Kommentare

Hallo Zusammen, seit kurzem bekomme ich oben genannte Fehlermeldung, wenn ich versuche eine Remotesitzung über den Taskmanager fernzusteuern (Rechtsklick ...